近日，被称为“扫地机器人第一股”的科沃斯面临隐私安全的质疑。两名安全研究人员丹尼斯・吉斯和布莱恩在Def Con黑客大会发布了科沃斯旗下产品安全漏洞，称攻击者可通过这些漏洞利用设备内置的摄像头和麦克风监视用户。

Def Con黑客大会被誉为黑客的“奥斯卡”，于上周末在美国拉斯维加斯举行，旨在分享安全社区的最新研究、黑客技术和知识。研究人员表示，科沃斯产品的主要问题在于存在一个漏洞，任何人只要使用手机，就能通过蓝牙从约130米远的地方连接并控制科沃斯机器人。

“你发送一个有效载荷，只需一秒钟，它就会重新连接到我们的机器。例如，它可以重新连接到互联网上的服务器。从那里，我们可以远程控制机器人。”丹尼斯·吉斯说，“我们可以读取Wi-Fi凭证，我们可以读取所有（保存的房间）地图，访问摄像头、麦克风等等。”

8月13日，针对旗下产品存在安全漏洞的质疑，科沃斯回应称，这是技术攻防中的破解手段，但在日常生活中属于非正常手段，公司将使用限制第二账户登录、加强蓝牙设备相互连接的二次验证等技术手段强化产品在蓝牙连接方面的安全性。

据媒体消息，线上电商平台的科沃斯旗舰店客服回复表示，新闻中提及的Ecovacs Deebot 900系列、Ecovacs Deebot N8/T8、Ecovacs Airbot ANDY等多款产品在店铺均已下架。针对下架的原因，以及可能存在的漏洞，科沃斯方面暂未回应。

扫地机器人

隐私泄露事件频发

随着万物互联时代的到来，科沃斯陷入隐私安全漏洞的背后，也是整个智能家居行业所面临的发展挑战。

澳洲信息安全协会（AISA）的专家便指出，扫地机器人不仅能收集灰尘清理卫生，还能收集周围环境的数据，并将其发送回外部服务器。尤其是那些自带摄像头的扫地机器人，其背后的隐私泄露风险不容忽视。

此前也有智能家居设备采集用户隐私数据后泄露的案例。在2020年，委内瑞拉一家负责给扫地机器人iRobot Roomba J7收集的图像进行标记的承包商，便将一名女性用户在家中上厕所的图片发到了网上；韩国也曾发生类似事件，黑客入侵家庭网络摄像头和相关智能设备，窃取了700多个家庭的私人照片和视频。

支招

如何防范隐私被泄露？

智能家居设备尤其在Wi-Fi连接、蓝牙连接方面，可能存在哪些漏洞和安全隐患？北京汉华飞天信安科技有限公司总经理彭根指出，不论是蓝牙设备还是Wi-Fi连接，都有其代码逻辑，只要有这种逻辑，就可能存在漏洞。“比如说它是一个Wi-Fi，不是路由器，但它告诉所有设备‘我是一个路由器’，那么其他设备是没办法去甄别它的，可能直接默认就连接上了。这样的话Wi-Fi欺骗的情况就诞生了，也是漏洞诞生的一个逻辑。”

如何防范类似事件的发生？彭根建议，用户如果发现智能家居设备有麦克风、摄像头等功能，尽量选择将其放在离隐私环境较远的地方；此外，要管理好账户，不要随便换口令，采取必要的安全措施，如断开物联网设备的互联网连接，以降低被远程攻击的风险。同时，用户也应对家中的智能设备进行定期的安全检查，确保其固件和软件更新至最新版本，以减少被利用的安全漏洞。（南都周刊 深圳商报）